| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in Microsoft Hotmail entdeckt. Dies betrifft einen unbekannten Teil der Komponente Virus Protection. Die Veränderung resultiert in Cross Site Scripting. Der Angriff kann über das Netzwerk erfolgen. Es ist soweit kein Exploit verfügbar.
Details
Hotmail ist ein freier, von Microsoft betriebener Freemail-Service, der mit Yahoo Mail und GMX vergleichbar ist. Die Nachrichten können mittels Webbrowser auf http://www.hotmail.com verfasst, verschickt und gelesen werden. Zusätzliche Features wie ein Adressbuch, Kalender und einen Antiviren-Schutz runden das Angebot ab. Die Sicherheitsexperten Hugo Vázquez Caramés und Toni Cortés Martínez von Infohacking fanden heraus, dass mit der Hilfe einer Cross Site Scripting Schwachstelle im Hotmail-Angebot der Antiviren-Dienst umgangen werden kann. Auf dem Hotmail-Server abgelegte Mails mit Attachments können jeweils über eine URL direkt angesprochen werden. Bei dieser URL wird ein Parameter übergeben, der definiert, ob beim Herunterladen des Anhangs eine Überprüfung auf Viren durchgeführt werden soll. Wird die Zeichenkette &vscan=scan weggelassen, findet kein Scan statt. Wie im Advisory beschrieben, verschickt ein Angreifer eine Email mit zwei Attachements. Der erste Anhang beinhaltet ein in einem HTML-Dokument eingebettetes Skript. Der zweite Anhang ist eine Datei mit einem Virus (z.B. Ein NetBus Server). Öffnet ein Benutzer nun das erste Attachment, wird das Skript gestartet, sofern Javaskript aktiviert ist und Hotmail zu den vertrauenswürdigen Sites zählt. Das Skript ermittelt nun die Session- und Message-ID aus der aktuellen URL und startet den Download des zweiten Attachments - Jedoch ohne Kennzeichnung für den Virenscan. Zwar wird dazu ein Fenster geöffnet, in dem der Benutzer dem Download zustimmen muss, meist wird der Inhalt solch eines Fensters aber kaum wahrgenommen und einfach nur weggeklickt. Einen direkten Schutz vor dieser Schwachstelle gibt es nicht. Man könnte Javascript temporär deaktivieren, bis Microsoft den Designfehler in ihrem Hotmail-Service behoben hat. Dem Virenschutz von Hotmail sollte man zur Zeit nicht 100 %ig vertrauen. Zudem sollte auf jedem PC ein aktualisierter Virenscanner installiert sein. Zusätzliche Informationen finden sich unter cgisecurity.com. Von weiterem Interesse können die folgenden Einträge sein: VDB-83, VDB-93, VDB-104 und VDB-107. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Diese Meldung tauchte im Heise-Forum auf und entflammte dort einmal mehr eine heisse Diskussion. Die Verteidiger von Microsoft beharren darauf, dass sehr viele Umstände zusammenspielen müssen, damit die Schwachstelle erfolgreich ausgenutzt werden kann (Javascript aktiviert, Hotmail.com zählt zu vertrauenswürdigen Seiten). Fakt ist jedoch, dass es sich hier um einen Designfehler handelt, dessen Ausnutzung nicht unrealistisch erscheint. Man sollte also die Hinweise in den Advisories beachten und Vorsicht im Umgang mit Hotmail walten lassen.
Produkt
Hersteller
Name
Lizenz
Webseite
- Hersteller: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.6VulDB Meta Temp Score: 4.6
VulDB Base Score: 4.6
VulDB Temp Score: 4.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Patch: hotmail.com
Snort ID: 1497
Timeline
18.06.2003 🔍18.06.2003 🔍
25.06.2019 🔍
Quellen
Hersteller: microsoft.comAdvisory: infohacking.com
Person: Hugo Vázquez Caramés, Toni Cortés Martínez (Inf
Firma: Infohacking, Barcelona, Spanien
Status: Nicht definiert
GCVE (VulDB): GCVE-100-109
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 18.06.2003 02:00Aktualisierung: 25.06.2019 21:56
Anpassungen: 18.06.2003 02:00 (49), 25.06.2019 21:56 (1)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.